Je répète mon point de vue. Il n'y a rien à corriger car il n'y a pas de
faille. Après si ça vous amuse vous pouvez y aller.
Pour que ça marche il faut changer la configuration d'apache par défaut et
autoriser la lecture des .htaccess depuis une URL.
<Files ~ "^\.ht">
Order allow,deny
Allow from all
</Files>
Déjà qu'autoriser les .htaccess n'est pas une bonne pratique mais en
autoriser la lecture c'est du grand n'importe quoi et si votre hébergeur a
mis ça dans sa configuration il est urgent de changer d'hébergeur !
Si on n'autorise pas la lecture des .htaccess aucune chance que l'attaque
fonctionne.
Le 7 novembre 2013 12:53, Bruno <[email protected]> a écrit :
> Le 7 novembre 2013 12:34, Franck Paul <[email protected]> a
> écrit :
>
> > Salut Alexandre,
> >
> > Oui tu as raison, c'est à prendre en compte.
> >
>
> Si on uploade un fichier commençant par ".", le "." est enlevé, donc pas de
> faille de ce coté. SAUF si on extrait un zip, auquel cas il n'y a pas de
> test. C'est à mon avis ce point-là qu'il faut corriger.
>
> --
> Bruno
> --
> Dev mailing list - [email protected] -
> http://ml.dotclear.org/listinfo/dev
>
--
Dev mailing list - [email protected] - http://ml.dotclear.org/listinfo/dev
